Une attaque de spear-phishing menée par un acteur nord-coréen ciblant son homologue du sud s’est avérée dissimuler son code malveillant dans un fichier image bitmap (.BMP) pour déposer un cheval de Troie d’accès à distance (RAT) capable de voler des informations sensibles.

Attribuer l’attaque au Groupe Lazarus Sur la base de similitudes avec les tactiques antérieures adoptées par l’adversaire, des chercheurs de Malwarebytes ont déclaré que la campagne de phishing avait commencé par la distribution d’e-mails contenant un document malveillant identifié le 13 avril.

auditeur de mot de passe

«L’acteur a utilisé une méthode astucieuse pour contourner les mécanismes de sécurité dans lesquels il a intégré ses HTA fichier sous forme de fichier compressé zlib fichier dans un fichier PNG qui a ensuite été décompressé pendant l’exécution en se convertissant au format BMP, “les chercheurs de Malwarebytes mentionné.

“La charge utile abandonnée était un chargeur qui décodait et déchiffrait la charge utile du deuxième étage en mémoire. La charge utile du deuxième étage a la capacité de recevoir et d’exécuter des commandes / shellcode ainsi que d’exfiltrer et de communiquer avec un serveur de commande et de contrôle.”

Créé le 31 mars 2021, le document de leurre (en coréen) prétend être un formulaire de demande de participation à une foire dans l’une des villes sud-coréennes et invite les utilisateurs à activer les macros lors de son ouverture pour la première fois, uniquement pour exécuter l’attaque. code qui déclenche la chaîne d’infection, abandonnant finalement un exécutable appelé «AppStore.exe».

auditeur de mot de passe

La charge utile procède ensuite à l’extraction d’une charge utile chiffrée de deuxième étape ajoutée à elle-même qui est décodée et déchiffrée au moment de l’exécution, suivie de l’établissement de communications avec un serveur distant pour recevoir des commandes supplémentaires et transmettre les résultats de ces commandes au serveur.

“L’acteur de la menace Lazarus est l’un des acteurs de la menace nord-coréens les plus actifs et les plus sophistiqués qui a ciblé plusieurs pays, dont la Corée du Sud, les États-Unis et le Japon au cours des deux dernières années”, ont déclaré les chercheurs. “Lazarus est connu pour utiliser de nouvelles techniques et des outils personnalisés dans ses opérations pour augmenter l’efficacité de ses attaques.”



Leave a Reply